标签：转账 cookies 网页 攻击 银行 网站 token 防御 CSRF

转自：https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369（源源作者连接失效，转载的第二任的）

用自己的话描述：

　　以文中银行转账为例，CSRF攻击就是你登陆了A银行，所以你的浏览器上有登陆A银行网站需要的认证信息（cookies），你没有退出A银行网站，这时打开了B网站，B网站伪造了一个转账的请求（比如美女图片，你点击美女图片就会触发一次转账请求，由于没有退出A银行，所以这次请求会携带cookies，从而让A银行误以为是本人的正常操作，导致错误转账）。

　　构造随机token，意思是正常请求A银行网页的时候，会返回一个正经网页，该正经网页会携带A银行网站随机生成的一个token过来，你只有点击这个正经网页的提交表单才能获取这个token并返回给A银行网站。假如在不退出登陆状态情况下打开B网站的网页，并且点击了这个不正经网页的美女图片，由于这个不正经网页中不含有token，所以，虽然这个 不正经网页能获取cookies，但是没法获取token，因为token只存在于正经网页中。

标签：转账,cookies,网页,攻击,银行,网站,token,防御,CSRF
来源： https://www.cnblogs.com/olivertian/p/10934032.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。